Koska komission ehdotuksen tarkoituksena on saattaa toimielinten tietosuojaa koskevat säännöt yhdenmukaiseksi yleisen tietosuoja-asetuksen kanssa, rakentuu ehdotus monilta osin yleisen tietosuoja-asetuksen pohjalle. Komission lähtökohtana on ollut, että yleisestä tietosuoja-asetuksesta poiketaan vain sen ollessa välttämätöntä. Komission mukaan uutta toimielinten tietosuoja-asetusta tulisi tulkita yhdenmukaisesti yleisen tietosuoja-asetuksen kanssa aina, kun niiden säännökset perustuvat samaan käsitteeseen. Uuden toimielinten tietosuoja-asetuksen rakenteen olisi katsottava vastaavan yleisen tietosuoja-asetuksen rakennetta. Toimielinten suorittaman henkilötietojen käsittelyn ominaispiirteiden huomioon ottamiseksi asetusehdotukseen on sisällytetty tarvittavat osat nykyisestä toimielinten tietosuoja-asetuksesta.
2.1.3
Nykyisen toimielinten tietosuoja-asetuksen säännökset, jotka tulee yhdenmukaistaa yleisen tietosuoja-asetuksen kanssa
Asetusehdotuksen henkilötietojen käsittelyä koskevat periaatteet vastaavat yleisen tietosuoja-asetuksen periaatteita. Uutta nykyiseen toimielinten tietosuoja-asetukseen verrattuna ovat läpinäkyvyyden, eheyden ja luottamuksellisuuden periaatteet sekä osoitusvelvollisuus. Läpinäkyvyydellä viitataan käsittelyn läpinäkyvyyteen suhteessa rekisteröityyn. Eheys ja luottamuksellisuus puolestaan edellyttävät henkilötietojen käsittelemistä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Rekisterinpitäjän on myös kyettävä osoittamaan, että henkilötietojen käsittely on asetuksen mukaista.
Käsittelyn lainmukaisuuden edellytykset vastaavat soveltuvin osin yleisen tietosuoja-asetuksen edellytyksiä. Komission ehdotuksessa ei kuitenkaan mainita rekisterinpitäjän oikeutettua etua. Tämä perustuu siihen, että yleisen tietosuoja-asetuksen mukaan mainittua edellytystä ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä. Unionin toimielimet voidaan tältä osin rinnastaa jäsenvaltioiden viranomaisiin. Käsittely olisi asetusehdotuksen mukaan lainmukaista esimerkiksi jos se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi unionin toimielimelle tai elimelle kuuluvan julkisen vallan perusteella tai sitä käyttäen. Nämä yleistä etua koskevat tehtävät vahvistettaisiin ehdotuksen mukaan unionin lainsäädännössä. Yleisen tietosuoja-asetuksen mukaan käsittelyn perustasta on säädettävä laissa näiden tilanteiden lisäksi niissä tilanteissa, joissa käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
Tarjottaessa tietoyhteiskunnan palveluja suoraan lapselle, alle 13-vuotiaan lapsen henkilötietojen käsittely olisi asetusehdotuksen mukaan lainmukaista vain lapsen vanhempainvastuunkantajan suostumuksella tai valtuutuksella. Yleisessä tietosuoja-asetuksessa otettiin lähtökohdaksi 16 vuoden ikäraja, josta jäsenvaltiot tosin saavat poiketa, kunhan ikäraja ei ole 13 vuotta alhaisempi.
Erityisiä henkilötietoryhmiä koskevan käsittelyn periaatteet vastaavat pitkälti yleistä tietosuoja-asetusta, mutta toimielinten osalta ei komission ehdotuksen mukaan säädettäisi mahdollisuudesta pitää voimassa tai ottaa käyttöön rajoituksia koskien geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.
Rekisteröidyn oikeudet vastaavat pitkälti yleisessä tietosuoja-asetuksessa säädettyjä oikeuksia. Koska unionin toimielinten ei odoteta perivän maksuja tietojen toimittamiseen liittyvistä hallinnollisista kustannuksista, ei tätä yleisen tietosuoja-asetuksen rekisterinpitäjälle antamaa mahdollisuutta ole otettu komission ehdotukseen. Rekisteröidyn vastustamisoikeuksista ehdotukseen ei sisälly viittauksia suoramarkkinointiin, koska toimielimet eivät harjoita suoramarkkinointia.
Asetusehdotus mahdollistaisi rekisteröidyn oikeuksien rajoittamisen vastaavissa tilanteissa kuin yleinen tietosuoja-asetus. Rajoituksista säädettäisiin unionin perussopimusten nojalla annetuissa säädöksissä tai toimielinten vahvistamissa sisäisissä säännöissä.
Rekisterinpitäjän velvollisuudet vastaavat keskeisiltä osin yleisessä tietosuoja-asetuksessa asetettuja velvollisuuksia. Asetusehdotuksessa on lisäksi huomioitu tuleva sähköisen viestinnän tietosuoja-asetus.
Asetusehdotukseen sisältyy yleisen tietosuoja-asetuksen tavoin vaatimus sisäänrakennetusta ja oletusarvoisesta tietosuojasta, joka edellyttää rekisterinpitäjän ottavan tietosuojaperiaatteet asianmukaisesti huomioon käsittelytapojen määrittämisen ja käsittelyn yhteydessä. Rekisterinpitäjän on lisäksi varmistettava, että oletusarvoisesti käsitellään vain tarpeellisia henkilötietoja, ja että niitä ei saateta rajoittamattoman henkilömäärän saataville.
Asetusehdotus sisältää yleisen tietosuoja-asetuksen tavoin velvoitteen ilmoittaa henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidylle sekä laatia tietosuojaa koskeva vaikutustenarviointi.
Säännöt koskien henkilötietojen siirtämistä kolmansiin maihin tai kansainvälisille järjestöille vastaavat yleisen tietosuoja-asetuksen sääntöjä.
Asetusehdotuksen oikeussuojakeinoja, vastuuta ja seuraamuksia koskevat säännökset perustuvat soveltuvin osin yleisen tietosuoja-asetuksen säännöksiin ja muuten nykyisen toimielinten tietosuoja-asetuksen säännöksiin.
Asetusehdotuksen yhteistyötä ja yhdenmukaisuutta koskevilla säännöksillä pyritään varmistamaan Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välisen yhteistyön sujuminen. Ehdotuksen mukaan Euroopan tietosuojavaltuutettu tekee kansallisten valvontaviranomaisten kanssa yhteistyötä siinä laajuudessa kuin se on tarpeen niiden tehtävien suorittamiseksi, erityisesti antamalla niille tarvittavat tiedot, pyytämällä kansallisia valvontaviranomaisia käyttämään toimivaltuuksiaan tai vastaamalla kyseisten viranomaisten pyyntöön.
Yleisellä tietosuoja-asetuksella perustettiin kansallisista valvontaviranomaisista ja Euroopan tietosuojavaltuutetusta koostuva Euroopan tietosuojaneuvosto valvomaan yleisen tietosuoja-asetuksen yhdenmukaista soveltamista unionissa. Euroopan tietosuojavaltuutetulla on äänioikeus sellaisissa tietosuojaneuvoston päätöksissä, jotka koskevat unionin toimielimiin, elimiin ja laitoksiin sovellettavia periaatteita ja sääntöjä, kun nämä vastaavat asiasisällöltään yleisen tietosuoja-asetuksen periaatteita ja sääntöjä.
2.1.4
Nykyisen toimielinten tietosuoja-asetuksen säännökset, jotka tulisi säilyttää niiden tarpeellisuuden vuoksi
Euroopan tietosuojavaltuutetulla on keskeinen rooli henkilötietojen suojan turvaamisessa, minkä vuoksi nykyiset tietosuojavaltuutettua koskevat säännökset on haluttu säilyttää myös uudessa toimielinten tietosuoja-asetuksessa. Komission ehdotus kehittää Euroopan tietosuojavaltuutettua koskevia säännöksiä edelleen ja yhdenmukaistaa ne soveltuvin osin yleisen tietosuoja-asetuksen kansallisia valvontaviranomaisia koskevien sääntöjen kanssa. Ehdotuksen mukaan komissiolla olisi jatkossakin velvollisuus kuulla tietosuojavaltuutettua sellaisten lainsäädäntöhankkeiden yhteydessä, joilla on vaikutusta henkilötietojen suojaan.
Uutta nykytilaan verrattuna on, että Euroopan tietosuojavaltuutetulle annettaisiin toimivalta määrätä toimielinten tietosuoja-asetuksen rikkomisesta hallinnollisia sakkoja. Yleisessä tietosuoja-asetuksessa annetaan vastaava toimivalta kansallisille valvontaviranomaisille, mutta sakkojen enimmäismäärät ovat siinä korkeammat kuin komission ehdotuksessa. Yleisessä tietosuoja-asetuksessa jätettiin jäsenvaltioille harkintavaltaa viranomaisille määrättävien hallinnollisien sakkojen osalta.
Ehdotuksen mukaan nykyisestä toimielinten tietosuoja-asetuksesta säilytettäisiin säännökset tietosuojavastaavasta, sähköisen viestinnän luottamuksellisuudesta, käyttäjäluetteloista sekä velvollisuudesta vastata väitteisiin. Lisäksi säilytettäisiin säännöt henkilötietojen siirtämisestä vastaanottajille, jotka eivät ole unionin toimielimiä tai elimiä ja joihin sovelletaan yleistä tietosuoja-asetusta tai tietosuojadirektiiviä.
Euroopan unionin tuomioistuimella säilyisi ehdotuksen mukaan toimivalta ratkaista asetusta koskevat riidat, ja unionin toimielinten henkilöstöllä olisi jatkossakin mahdollisuus tehdä Euroopan tietosuojavaltuutetulle valitus asetuksen rikkomisesta käyttämättä virkatietä.
2.1.5
Muuta
Asetusehdotuksesta puuttuu nimenomainen säännös henkilötietojen suojan sovittamisesta yhteen virallisten asiakirjojen julkisuuden kanssa. Yleisen tietosuoja-asetuksen mukaan viranomaiset voivat luovuttaa hallussaan olevien virallisten asiakirjojen sisältämiä henkilötietoja niihin sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.
Asetusehdotus täydentää yleistä tietosuoja-asetusta arkistointitarkoituksia sekä tutkimus- tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevien suojatoimien osalta. Asetusehdotukseen ei kuitenkaan ole sisällytetty mahdollisuutta poiketa rekisteröidyn oikeuksista tällaisen käsittelyn yhteydessä.
Asetusehdotus ei vaikuta nykyisen Euroopan tietosuojavaltuutetun tai apulaistietosuojavaltuutetun toimikauteen.